Hoy he estado viendo de nuevo un breve análisis sobre la seguridad de los sistemas operativos que publicó hace unos meses la conocida página Zone-h.org, especialista en seguridad de Internet.
En este artículo se muestran unas gráficas de evolución de ataques durante un año, sufridos por diversos sistemas operativos, y cuya mayor relevancia se obtiene al comprobar los valores para las familias de sistemas Windows y Linux. De hecho si se analizan las gráficas con detenimiento se ve que Windows gana a Linux por goleada la mayoría de los meses.
Tal y como apuntan los autores del portal, quedarse en estas meras cifras sería pecar de cortos de miras, puesto que éstas dependen de multitud de factores (incluso de las modas: hay épocas que a los crackers se les da por atacar un sistema determinado en lugar de otros). Sin embargo estas cifras son bastante significativas desde mi punto de vista. Incluso se puede comprobar cómo los ataques con éxito sufridos por Windows 2003 frente a windows 2000 son muchísimo menores, como era de esperar. Todo un síntoma ¿no?
La página llega a una conclusión con la que estoy completamente de acuerdo y que además no me canso de repetir en artículos, charlas, cursos y demás foros en los que participo: si bien es muy importante, la seguridad del sistema operativo y de la red no sirve absolutamente de nada si nuestras aplicaciones están escritas con código inseguro (algo que pasa en las mejores empresas, te lo puede certificar cualquiera).
El que va por la vida afirmando sin duda posible que un determinado sistema es inherentemente seguro (o inseguro), o bien no sabe de qué está hablando o miente descaradamente, o ambas cosas. Es cierto que un sistema operativo bien configurado, un buen cortafuegos, IDS, y demás parafernalia de seguridad son indispensables. Ahora bien, ya puedes tener lo mejor de lo mejor en este aspecto, que si tu aplicación está mal escrita y no tiene en cuenta las cuestiones fundamentales sobre escritura de código seguro todo ello no sirve de nada.
En este sentido una buena formación es indispensable. Durante todo el año pasado algunas personas impartimos formación sobre este aspecto concreto de la programación para MSDN. Lo que más me llamó la anteción de estas charlas en las encuestas informales a mano alzada que hice fue la cantidad de programadores curtidos que no habían oído hablar de desbordamientos de búfer, de inyección SQL, XSS, etc...
Y es especialmente alarmante (y esto lo veo en mi trabajo, no en charlas informales) la cantidad de programadores profesionales que jamás tienen en cuenta aspectos relativos a la seguridad cuando desarrollan una aplicación. La opinión más extendida para evitar pensar en ello suele ser: "Ya se ocuparán de proteger los servidores los chicos de sistemas". Craso error.
Espero que esto cambie con el tiempo. Y, mucho ojo, no se trata de algo específico o ligado a plataformas Microsoft, Linux o cualquier otra. Es independiente de la tecnología y está relacionado íntimamente con la calidad del código y la formación específica de quien lo desarrolla.
¡Ahí queda eso! ;-)
💪🏻 ¿Este post te ha ayudado?, ¿has aprendido algo nuevo?
Pues NO te pido que me invites a un café... Te pido algo más fácil y mucho mejor
